2024년 1월 국내외 금융권 관련 보안 이슈
본 보고서는 국내외 금융권 기업들을 대상으로 발생한 실제 사이버 위협과 관련 보안 이슈를 종합적으로 다루고 있다. 금융권을 대상으로 유포된 악성코드와 피싱 케이스에 대한 분석 내용이 포함되며, 금융권을 겨냥한 주요 악성코드 Top 10을 제시했고, 금융권을 대상으로 한 피싱 이메일 유포 사례도 상세히 다뤘다. 또한 다크웹에서 발생한 금융 관련 주요 위협과
AhnLab EDR을 활용한 데이터 유출 단계 탐지 (랜섬웨어 공격자들)
랜섬웨어 공격자들은 조직의 내부 네트워크를 장악한 이후 랜섬웨어를 배포해 시스템들을 암호화하며 복구를 위한 금전을 요구하는 방식으로 수익을 얻었다. 하지만 최근에는 시스템들을 암호화하는 것 외에도 조직의 내부 데이터를 유출한 이후 대가를 지불하지 않을 시 이를 공개하겠다는 협박을 함께 사용하고 있다. 일반적으로 랜섬웨어 공격자들은 데이터들을 수집한 이후 이를 압축하고 외부에 유출한다. 데이터를
Mimic 랜섬웨어를 사용하는 Trigona 랜섬웨어 공격자
AhnLab SEcurity intelligence Center(ASEC)은 최근 Trigona 랜섬웨어 공격자가 Mimic 랜섬웨어를 설치하는 새로운 활동을 확인하였다. 이번에 확인된 공격 사례는 기존 사례들과 유사하게 MS-SQL 서버를 대상으로 하며 악성코드 설치 과정에서 MS-SQL 서버의 BCP(Bulk Copy Program) 유틸리티를 악용했다는 점이 특징이다. Trigona 랜섬웨어 : 적어도 2022년 6월부터 활동한 것으로 알려졌으며 [1] 주로 MS-SQL 서버를
이력서를 사칭한 워드 문서로 유포되는 LockBit 3.0 랜섬웨어
AhnLab SEcurity intelligence Center(ASEC)은 지난 달부터 워드 문서를 통해 LockBit 랜섬웨어가 유포되고 있음을 확인하였다. LockBit 랜섬웨어는 주로 이력서를 사칭하여 유포되는 것이 특징이며, 이번에 확인된 악성 워드 문서 역시 이력서를 사칭하였다.[1] 또한, 워드 문서의 External URL 링크를 활용하는 LockBit 랜섬웨어를 유포 방식은 2022년 최초 확인되었다.[2] 최근 확인된 악성 워드 문서의
취약점 공격으로 설치되는 Mimo 코인 마이너 with Mimus 랜섬웨어
AhnLab SEcurity intelligence Center(ASEC)은 최근 Mimo라고 불리는 코인 마이너 공격자가 다양한 취약점을 공격하여 악성코드들을 설치하고 있는 정황을 확인하였다. Mimo는 Hezb라고도 불리며 2022년 3월경에 Log4Shell 취약점 공격을 통해 코인 마이너 악성코드를 설치하고 있는 사례가 최초로 확인되었다. 지금까지 알려진 공격 사례는 모두 최종적으로 Mimo Miner Bot이라고 하는 XMRig 코인 마이너를 설치하는 공격이었다.
2023년 4분기 악성코드 위협 통계 보고서
개요AhnLab SEcurity intelligence Center(ASEC)에서는 자사의 자동 분석 시스템인 RAPIT를 활용하여 다양한 경로를 통해 수집된 악성코드들에 대한 분류 및 대응 진행하고 있다.이 글에서는 2023년 4분기 동안 수집된 악성코드들 중에서 알려진 악성코드들에 대한 분류 및 통계를 다룬다.통계 대상이 되는 악성코드들은 실행 파일 포맷을 대상으로 하며, 유형별로 악성코드 분류 및 점유율 통계와 간략한
2023년 12월 딥웹 & 다크웹 동향보고서
알림 2023년 12월 딥웹 & 다크웹의 간추린 동향 보고서는 Ransomware, Forums 및 Black Market, Threat Actor내용으로 구성되어 있다. 내용중 일부는 사실 관계를 확인할 수 없는 것도 있음을 미리 밝힌다. 주요 이슈 1) Ransomware (1) ALPHV(BlackCat) ALPHV (BlackCat) 랜섬웨어 갱단의 DLS (Dedicated Leak Sites)가 법 집행기관에 의해서 폐쇄되었다. 미국
RDP를 침투 경로로 사용하는 랜섬웨어 공격 사례들 – EDR 탐지
원격 데스크톱 서비스(Remote Desktop Services)는 다른 PC를 원격으로 제어할 수 있는 기능을 뜻하며 윈도우 운영체제에서는 RDP(Remote Desktop Protocol)를 이용해 이러한 서비스를 기본적으로 제공한다. 이에 따라 제어 대상 시스템이 윈도우를 사용한다면 추가적인 원격 제어 도구들을 설치하는 과정 없이 RDP를 이용해 원격 대상에 대한 제어가 가능하다. 원격 제어를 위해서는 대상 시스템에 대한
국내 기업을 대상으로 공격 중인 하쿠나 마타타(Hakuna matata) 랜섬웨어
ASEC(AhnLab Security Emergency response Center)은 최근 하쿠나 마타타(Hakuna matata) 랜섬웨어가 국내 기업 대상 공격에 사용 중인 것을 확인하였다. 하쿠나 마타타는 상대적으로 최근에 제작된 랜섬웨어이다. 하쿠나 마타타 랜섬웨어와 관련된 정보들 중 최초로 확인되는 것은 2023년 7월 6일 트위터에서 언급된 내용이며, [1] 이후 2023년 7월 14일에는 공격자가 다크웹에서 하쿠나 마타타를 홍보하는 게시글이
매그니베르 랜섬웨어의 인젝션 V3 탐지 차단(Direct Syscall Detection)
매그니베르(Magniber) 랜섬웨어는 높은 유포건수를 보이며 꾸준히 유포되고 있다. 매그니베르 랜섬웨어는 최근 몇년간 IE 취약점을 통해 유포되었지만, IE(Internet Explorer)의 지원 종료시기를 기점으로 IE 취약점 유포를 중단하였다. 그리고 최근 매그니베르 랜섬웨어는 Edge, Chrome 브라우저에서 Windows 보안 업데이트 패키지(ex_ERROR.Center.Security.msi)로 파일명을 위장해 유포되고 있다. 현재 매그니베르 랜섬웨어(Magniber)는 실행중인 프로세스에 랜섬웨어를 주입하여 실행중인 프로세스가 사용자의
